GDPR PAPIROLOGIJA I PRIVOLE

⚠️Mislite da vam za svako prikupljanje i obradu osobnih podataka treba privola?

⚠️ NE TREBA! Privola je samo jedan od 6 pravnih temelja za zakonitu obradu osobnih podataka.

💡Prvi primjer: zubar ne mora tražiti pacijenta privolu da bi obrađivao njegove osobne podatke u svrhu liječenja zuba- obrada se u ovom slučaju temelji na zakonskoj obvezi. Ako primjerice zubar usput i “popegla” koju boru i želi staviti na društvene mreže slike prije- poslije, u tom slučaju treba tražiti pacijenta privolu. U čemu je stvar? Privola mora biti dana dobrovoljno, za točno određenu svrhu, ne smije biti uvjetovana i uskraćivanje privole ne smije imati negativne posljedice za pojedinca. U ovom konkretnom slučaju, što ako pacijent ne da privolu za obradu osobnih podataka u svrhu liječenja zuba i što sad, zubar mu odbija popraviti zub? Ovakva privola ne bi bila zakonita i pravni temelj u ovom slučaju ne može biti privola.

💡Drugi primjer: sklapate s klijentom ugovor, za izvršenje tog ugovora potreban je i određeni set osobnih podataka. Tražite privolu klijenta da obrađujete njegove osobne podatke. KRIVO! Što ako ne da privolu, nećete sklopiti ugovor? Pravni temelj u ovom slučaju je ugovor.

 

💡Treći primjer: zapošljavate novog radnika. Prijavljujete ga na HZZO, HZMO. Za svaki slučaj tražite radnika privolu da njegove osobne podatke možete proslijediti HZZO-u, HZMO-u. KRIVO! I što ako radnik ne da privolu? Ostaje bez posla? Pravni temelj u ovom slučaju je zakonska obveza.

 

  • BIT CIJELE PRIČE: nađite odgovarajući pravni temelj za obradu i ne gomilajte nepotrebno privole u registratorima. U slučaju mikro, malih poduzetnika i obrtnika, pravni temelj će najčešće biti zakonska obveza, ugovor, legitimni interes. Saznajte više o pravnim temeljima na ARC web stranici: https://arc-rec-project.eu/pravni-temelji-za-obradu…/
  • Sad kad smo demistificirali privolu, što jednom poduzetniku od “GDPR papirologije” treba? Kao prvo, ne radi se o brdo nepotrebnih papira kao što mnogi misle. Dočarajmo to na jednom primjeru. Salon za uljepšavanje pruža različite usluge: frizerske, pedikuru, manikuru, usluge mršavljenja, masaže, prodaje proizvode putem web shopa itd., a zapošljava 20 zaposlenika. Salon za uljepšavanje obrađuje osobne podatke svojih zaposlenika, klijenata, posjetitelja web stranice. Salon za uljepšavanje obrađuje osobne podatke svojih zaposlenika, klijenata, posjetitelja web stranice. Za klijente koji koriste tretmane mršavljenja prikuplja širi set podataka: broj kilograma, mjere, godinu rođena, podatke o prehrani, fotografije itd. Neke od tih obrada temelje se na zakonskoj obvezi, ugovoru, legitimnom interesu, a neke i na privoli (obrada osobnih podataka putem kolačića, stavljanje slika “prije-poslije” klijenata na društvene mreže). Neke od tih obrada su stalne pa vodi evidenciju aktivnosti obrade. Politika privatnosti dostupna je na web stranici salona i u poslovnici. Prilikom posjete web stranici, pojavljuje se skočni prozor s obavijesti da se kolačići koriste, koje posjetitelji stranice mogu jednostavno prihvatiti ili odbiti. Također, u podnožju stranice nalazi se obavijest o kolačićima. Salon ima izvršitelje obrade (IT tvrtka, zaštitarska tvrtka i knjigovodstveni servis) te je s njima sklopljen ugovor voditelj-izvršitelj obrade. Za obrade koje se temelje na legitimnom interesu (videonadzor, marketing) proveden je i dokumentiran test legitimnog interesa. Salon ima pravilnik o zaštiti osobnih podataka u kojem je propisano tko ima pristup osobnim podacima, koliko dugo se čuvaju, što s njima nakon što nisu više potrebni, kako postupati kad se zaprimi zahtjev ispitanika za ostvarivanje prava, što u slučaju povrede osobnih podataka, koliko dugo se čuvaju videonadzorne snimke, tko im ima pristup itd. Zaposlenici koji rade s osobnim podacima potpisali su izjavu o povjerljivosti. Poduzete su odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka.

🧐🤔 Što ima salon od “GDPR papirologije”?

  1. Salon vodi evidenciju aktivnosti obrade: radi se o jednostavnoj excel tablici. Nisu svi poduzetnici u obavezi voditi evidenciju aktivnosti obrade, ali preporučamo svima da to rade. Na ovaj način napravit ćete svojevrsnu inventuru osobnih podataka koje posjedujete i koje koristite, shvatiti gdje se nalaze, za što ih koristite, koji je pravni temelj za njihovu obradu itd. Ako vam ikad AZOP zakuca na vrata, ispravno vođena evidencija aktivnosti obrade služi kao jedan od dokaza da ste usklađeni s GDPR-om.

Upute za vođenje evidencije aktivnosti obrade i obrazac možete pronaći ovdje: https://arc-rec-project.eu/evidencije-aktivnosti-obrade/

  1. Provedene i dokumentirane testove legitimnog interesa za obradu putem videonadzora i u svrhe direktnog marketinga, obrazac: https://arc-rec-project.eu/…/primjer-Test-razmjernosti…
  2. Sklopljeni ugovori s izvršiteljima obrade, predložak: https://arc-rec-project.eu/…/Ugovor-o-obradi-podataka…
  3. Politika privatnosti (izjava/obavijest o obradi osobnih podataka) dostupna na webu i poslovnici u kojoj se klijente transparentno informira o obradi njihovih osobnih podataka . Obrazac i upute za izradu politike privatnosti: https://arc-rec-project.eu/politika-privatnosti-i…/.

Na web stranici ima i obavijest o kolačićima, više o kolačićima na: https://azop.hr/vodic-o-obradi-osobnih-podataka-putem-kolacica/

  1. Zaposlenici su potpisali izjavu o povjerljivosti, obrazac: https://azop.hr/…/6-izjava_o_povjerljivosti_obrazac-1.docx
  2. Pravilnik kojima se uređuje obrada osobnih podataka: propisuje tko obrađuje osobne podatke, u koju svrhu, koji je pravni temelj obrade, koji je opseg osobnih podataka u obradi, tko ima pravo pristupa i obrade osobnih podataka, koliko dugo se podaci čuvaju, što se s podacima događa kad više nisu potrebni, koje su tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka). Više o tehničkim i organizacijskim mjerama:

https://arc-rec-project.eu/tehnicke-i-organizacijske…/.

  • VAŽNO! Svi zaposlenici i svaki novi zaposlenik koji dođe prolazi kratku edukaciju o zaštiti osobnih podataka.

🧐🤔S ZAKLJUČAK: “GDPR papirologija” i tehničke i organizacijske mjere neće za svakog poduzetnika, obrtnika, organizaciju biti iste. To ovisi o obradama osobnih podataka koje poduzeće provodi. U navedenom slučaju radi se o salonu za uljepšavanje koji pruža široki raspon usluga, prodaje proizvode putem weba, ima videonadzor, na web stranici kolačiće… U slučaju npr. frizerskog salona koji ima zaposlenike, ali ne provodi ostale obrade kao navedeni salon za uljepšavanje, većina od gore navedenog neće biti potrebno. Ako frizerski salon ne prikuplja osobne podatke klijenata, nema web stranicu, nema videonadzor, već samo pruža usluge u svom objektu, trebat će na adekvatan način zaštiti osobne podatke svojih zaposlenika i voditi samo evidenciju obrade osobnih podataka zaposlenika jer je takva obrada stalna. Tu se dakle radi o jednoj excel tablici s desetak rubrika, ne o brdo papirologije. U slučaju postolara koji ne zapošljava radnike, ne prikuplja osobne podatke klijenata, neće biti potrebno ništa od gore navedenog. Naravno, u slučaju osiguravajuće kuće, putničke agencije, kartičarske kuće, ukratko poduzeća koje prikuplja široki set osobnih podataka i provodi kompleksne i rizičnije obrade, bit će potrebna sva gore navedena dokumentacija, ali još i važnije poduzimanje strožih tehničkih i organizacijskih mjera, a često će biti nužno i provesti procjenu učinka na zaštitu podataka i imenovati službenika za zaštitu podataka.